Только есть один момент, с которым сразу столкнулся: при включения режима "лобби", если выйти из комнаты, будучи модератором (по токену), в которой останутся другие участники (не модераторы), обратно в эту комнату уже не войти. Будешь модератором ожидать подтверждения входа в комнату, пока последний участник не выйдет из нее)
Понятно, что это не баг, а фича. Просто так работает лобби в jitsi.
Наверное, решается изменением логики работы лобби и токенов в prosody-modules/{}.lua, но в стартовом состоянии работает именно так.
Я ответил, что у него очень интересный поход в работе, что я только сел за ПК и пожелал ему удачи, но уже был в ЧС.
Об этом я в статье не упомянул, т.к. сообщение все равно не было прочитано.
Не спорю, но это не та ошибка, которую можно отнести к «доработкам и исправлениям». Её в принципе быть не должно еще ДО того, как проект был начат. имхо
«Хозяин» проекта как раз уделяет внимание безопасности
Все верно, но, возможно, Вы удивитесь, когда узнаете, что вся забота о безопасности проявлялась лишь в уведомлениях и рекомендациях самого фреймворка (yii), где, по какой — то причине, не было ни слова об исполнении php скриптов в публичных директориях проекта.
Не нанимали, просто скинули информацию для ознакомления, а я сказал, что посмотрю. На этом все.
Как выяснилось — он скидывал её всем подряд без разбора. В итоге его заблокировали на linkedin за рассылку спама, полагаю.
И используя служебное положение — начал гадить.
До сих пор не объяснили мне где же я нагадил.
оказывать профессиональные услуги со знаком минус
Я не оказал ему никаких своих услуг, кроме тех, что описаны в статье.
И да, у меня были клиенты намного грубее и вспыльчивее, но с ними все ограничивалось добавлением в ЧС. Здесь просто как — то вышло само собой)
И дело не в самом человеке или в том, что он мне написал. У меня всегда был «спортивный интерес» к выявлению уязвимостей, который всегда заканчивался словом «спасибо», а иногда даже денежной премией от владельцев проектов.
используя выданные ему служебные доступы
Это какие? Все что у меня было — это доска в трелло. Доступов там не было.
Тут же почему-то «красиво отомстить» — это геройство
Вам нужно уточнить значение понятия «месть». Да, я делал все не из благородных побуждений, но и вредить никому не собирался.
взгляд только с одной стороны
Есть как минимум 2 человека, которые написали мне после этой статьи и предоставили скриншоты переписки с этим человеком. В этих переписках он занимался «непотребствами» с мамами разработчиков.
Может у того, кто вас оскорбил, жена изменила, мать умерла, дитятко в уголовку вляпалось, партнер по бизнесу кинул или спазм желудочный какой-нибудь со страшными болями. И поэтому у него нервы на взводе.
Как выяснилось такие сообщения получил не один я и у меня есть реальные скриншоты от других разработчиков, после написания это статьи.
Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.
Ну и назвали бы его в ответ тоже «козёл» в глаза (а не в тайне, как сделал автор статьи) и дверью хлопнули, делов-то…
Возможно, для Вас является нормой хлопать дверьми и платить людям их же монетой, для меня нет.
Ответил я ему очень даже позитивно, без грубых выражений и пожелал успехов в работе. Но к этому времени я уже был в ЧС.
Но делать подлянку изподтишка, в тайне, используя свои профессиональные возможности — это ты сволочь, значит.
Интересная такая тайна, выствленная на всеобщее обозрение на хабре.
Использовать возможности, данные вам для выполнения профессиональных обязанностей, для того, чтобы сделать плохо человеку, что обратился к вам за вашими услугами — это непрофессионально.
Это максимум отчасти неэтично, с точки зрения изначальной моей реакции.
Непрофессионально — это нарушить работу сайта, из — за чего могут пострадать другие люди, использовать его для арбитража, продать данные на черном рынке и т.д.
Кстати, репутация = деньги.
Репутация = один из способов подобраться к умению зарабатывать деньги.
Умение зарабатывать деньги = деньги.
Вы слишком однозначны и односложны в своих высказываниях.
Иметь дело с человеком, который гадит клиенту — никто не будет
Полностью согласен. Хорошо, что я никому не нагадил.
«Уделяйте безопасности ваших проектов больше внимания» — единственная мысль, которую я хотел донести.
Но в процессе описания предыстории, видимо, увлекся и мораль была немного размыта…
В следующей стате постараюсь исправить свои ошибки и постараюсь написать о чем то, менее провокационном.
Один из читателей пару часов назад скинул мне скриншоты его переписки с этим же клиентом, где этот самый клиент "занимается непотребствами с его мамой" и т.д…
Полагаю, если поискать, мы найдем с десяток подобных случаев от этого человека.
Никто не был наказал, Вы слишком раздуваете ситуацию.
Никто, абсолютно никто не пострадал, за исключением, возможно, одного из разработчиков, который увидел текстовый файл в корне сайта, с описанием уязвимости и рекомендациями изменить доступы к проекту и испытал небольшой дискомфорт от увиденного.
Предполагаю, что дело в не совсем корректной подаче самой статьи. Некоторые могут увидеть здесь акцент не на конец самой статьи, а на начало)
Первая статья, первый фидбек, первые минусы :D
Никогда до этого момента не «агрился» на такие вещи.
И я бы не назвал это «местью», тем более что по итогу я указал на эту уязвимость без ущерба проекту.
Я никогда не позволял себе больше, чем нужно. Никогда не раскрывал никакой закрытой информации. И в каждой подобной ситуации пытался донести все моменты до разработчиков и руководителей проектов.
Спасибо за статью, токены заработали.
Только есть один момент, с которым сразу столкнулся: при включения режима "лобби", если выйти из комнаты, будучи модератором (по токену), в которой останутся другие участники (не модераторы), обратно в эту комнату уже не войти. Будешь модератором ожидать подтверждения входа в комнату, пока последний участник не выйдет из нее)
Понятно, что это не баг, а фича. Просто так работает лобби в jitsi.
Наверное, решается изменением логики работы лобби и токенов в
prosody-modules/{}.lua, но в стартовом состоянии работает именно так.Кто такой, чем знаменит?
«Предлагаю запретить слова. Есть информация, что с помощью них общаются террористы» ©
Хаха, спасибо за это)
Я ответил, что у него очень интересный поход в работе, что я только сел за ПК и пожелал ему удачи, но уже был в ЧС.
Об этом я в статье не упомянул, т.к. сообщение все равно не было прочитано.
Не спорю, но это не та ошибка, которую можно отнести к «доработкам и исправлениям». Её в принципе быть не должно еще ДО того, как проект был начат. имхо
Все верно, но, возможно, Вы удивитесь, когда узнаете, что вся забота о безопасности проявлялась лишь в уведомлениях и рекомендациях самого фреймворка (yii), где, по какой — то причине, не было ни слова об исполнении php скриптов в публичных директориях проекта.
Не нанимали, просто скинули информацию для ознакомления, а я сказал, что посмотрю. На этом все.
Как выяснилось — он скидывал её всем подряд без разбора. В итоге его заблокировали на linkedin за рассылку спама, полагаю.
До сих пор не объяснили мне где же я нагадил.
Я не оказал ему никаких своих услуг, кроме тех, что описаны в статье.
И да, у меня были клиенты намного грубее и вспыльчивее, но с ними все ограничивалось добавлением в ЧС. Здесь просто как — то вышло само собой)
И дело не в самом человеке или в том, что он мне написал. У меня всегда был «спортивный интерес» к выявлению уязвимостей, который всегда заканчивался словом «спасибо», а иногда даже денежной премией от владельцев проектов.
Это какие? Все что у меня было — это доска в трелло. Доступов там не было.
Вам нужно уточнить значение понятия «месть». Да, я делал все не из благородных побуждений, но и вредить никому не собирался.
Есть как минимум 2 человека, которые написали мне после этой статьи и предоставили скриншоты переписки с этим человеком. В этих переписках он занимался «непотребствами» с мамами разработчиков.
Как выяснилось такие сообщения получил не один я и у меня есть реальные скриншоты от других разработчиков, после написания это статьи.
Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.
Возможно, для Вас является нормой хлопать дверьми и платить людям их же монетой, для меня нет.
Ответил я ему очень даже позитивно, без грубых выражений и пожелал успехов в работе. Но к этому времени я уже был в ЧС.
Интересная такая тайна, выствленная на всеобщее обозрение на хабре.
Это максимум отчасти неэтично, с точки зрения изначальной моей реакции.
Непрофессионально — это нарушить работу сайта, из — за чего могут пострадать другие люди, использовать его для арбитража, продать данные на черном рынке и т.д.
Репутация = один из способов подобраться к умению зарабатывать деньги.
Умение зарабатывать деньги = деньги.
Вы слишком однозначны и односложны в своих высказываниях.
Полностью согласен. Хорошо, что я никому не нагадил.
«Уделяйте безопасности ваших проектов больше внимания» — единственная мысль, которую я хотел донести.
Но в процессе описания предыстории, видимо, увлекся и мораль была немного размыта…
В следующей стате постараюсь исправить свои ошибки и постараюсь написать о чем то, менее провокационном.
Один из читателей пару часов назад скинул мне скриншоты его переписки с этим же клиентом, где этот самый клиент "занимается непотребствами с его мамой" и т.д…
Полагаю, если поискать, мы найдем с десяток подобных случаев от этого человека.
Там всего лишь один текстовый файл с описанием уязвимости в двух предложениях.
Я думал этот мульт умер еще лет так 15 назад
Обещаю немного возместить Ваши потери, как только хабр даст мне такую возможность.
По поводу душевных людей — забыл сказать, что на linkedin у него в этой компании должность «Упарвляющий директор» )
Никто, абсолютно никто не пострадал, за исключением, возможно, одного из разработчиков, который увидел текстовый файл в корне сайта, с описанием уязвимости и рекомендациями изменить доступы к проекту и испытал небольшой дискомфорт от увиденного.
Первая статья, первый фидбек, первые минусы :D
И я бы не назвал это «местью», тем более что по итогу я указал на эту уязвимость без ущерба проекту.
Так было всегда, главное завернуть это в красивую упаковочку и назвать это «Знаменательным событием».